加入收藏 | 设为首页 | 会员中心 | 我要投稿 开发网_郴州站长网 (http://www.0735zz.com/)- 云通信、区块链、物联设备、云计算、站长网!
当前位置: 首页 > 站长资讯 > 外闻 > 正文

程序员安全规范:安全无小事,安全防范从Nginx配置做起

发布时间:2019-07-26 07:16:45 所属栏目:外闻 来源:今日头条
导读:副标题#e# 隐藏版本号 http{ server_tokensoff; } 经常会有针对某个版本的nginx安全漏洞出现,隐藏nginx版本号就成了主要的安全优化手段之一,当然最重要的是及时升级修复漏洞。 开启HTTPS server{ listen443; server_nameops-coffee.cn; sslon; ssl_certif
副标题[/!--empirenews.page--]

 隐藏版本号

  1. http { 
  2.  server_tokens off; 

经常会有针对某个版本的nginx安全漏洞出现,隐藏nginx版本号就成了主要的安全优化手段之一,当然最重要的是及时升级修复漏洞。

程序员安全规范:安全无小事,安全防范从Nginx配置做起

开启HTTPS

  1. server { 
  2.  listen 443; 
  3.  server_name ops-coffee.cn; 
  4.   
  5.  ssl on; 
  6.  ssl_certificate /etc/nginx/server.crt; 
  7.  ssl_certificate_key /etc/nginx/server.key; 
  8.  ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
  9.  ssl_ciphers HIGH:!aNULL:!MD5; 
  • ssl on: 开启https
  • ssl_certificate: 配置nginx ssl证书的路径
  • ssl_certificate_key: 配置nginx ssl证书key的路径
  • ssl_protocols: 指定客户端建立连接时使用的ssl协议版本,如果不需要兼容TSLv1,直接去掉即可
  • ssl_ciphers: 指定客户端连接时所使用的加密算法,你可以再这里配置更高安全的算法

添加黑白名单

白名单配置

  1. location /admin/ { 
  2.  allow 192.168.1.0/24; 
  3.  deny all; 

上边表示只允许192.168.1.0/24网段的主机访问,拒绝其他所有

也可以写成黑名单的方式禁止某些地址访问,允许其他所有,例如

  1. location /ops-coffee/ { 
  2.  deny 192.168.1.0/24; 
  3.  allow all; 

更多的时候客户端请求会经过层层代理,我们需要通过$http_x_forwarded_for来进行限制,可以这样写

  1. set $allow false; 
  2. if ($http_x_forwarded_for = "211.144.204.2") { set $allow true; } 
  3. if ($http_x_forwarded_for ~ "108.2.66.[89]") { set $allow true; } 
  4. if ($allow = false) { return 404; } 

添加账号认证

  1. server { 
  2.  location / { 
  3.  auth_basic "please input user&passwd"; 
  4.  auth_basic_user_file key/auth.key; 
  5.  } 

限制请求方法

  1. if ($request_method !~ ^(GET|POST)$ ) { 
  2.  return 405; 

$request_method能够获取到请求nginx的method

配置只允许GETPOST方法访问,其他的method返回405

拒绝User-Agent

  1. if ($http_user_agent ~* LWP::Simple|BBBike|wget|curl) { 
  2.  return 444; 

可能有一些不法者会利用wget/curl等工具扫描我们的网站,我们可以通过禁止相应的user-agent来简单的防范

Nginx的444状态比较特殊,如果返回444那么客户端将不会收到服务端返回的信息,就像是网站无法连接一样

图片防盗链

  1. location /images/ { 
  2.  valid_referers none blocked www.ops-coffee.cn ops-coffee.cn; 
  3.  if ($invalid_referer) { 
  4.  return 403; 
  5.  } 

valid_referers: 验证referer,其中none允许referer为空,blocked允许不带协议的请求,除了以上两类外仅允许referer为www.ops-coffee.cn或ops-coffee.cn时访问images下的图片资源,否则返回403

当然你也可以给不符合referer规则的请求重定向到一个默认的图片,比如下边这样

  1. location /images/ { 
  2.  valid_referers blocked www.ops-coffee.cn ops-coffee.cn 
  3.  if ($invalid_referer) { 
  4.  rewrite ^/images/.*.(gif|jpg|jpeg|png)$ /static/qrcode.jpg last; 
  5.  } 

控制并发连接数

可以通过ngx_http_limit_conn_module模块限制一个IP的并发连接数

  1. http { 
  2.  limit_conn_zone $binary_remote_addr zone=ops:10m; 
  3.  server { 
  4.  listen 80; 
  5.  server_name ops-coffee.cn; 
  6.   
  7.  root /home/project/webapp; 
  8.  index index.html; 
  9.  location / { 
  10.  limit_conn ops 10; 
  11.  } 
  12.  access_log /tmp/nginx_access.log main; 
  13.  } 

limit_conn_zone: 设定保存各个键(例如$binary_remote_addr)状态的共享内存空间的参数,zone=空间名字:大小

(编辑:开发网_郴州站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

热点阅读